域管理员无法更改 gpmc

Question 1

如果由于限制而无法启动 MMC（您是否将此 GPO 应用于整个域或类似的东西？！）那么您可以使用PowerShell 的组策略模块。

以域管理员身份登录并在安装了 RSAT 的 AD 命令行工具的计算机上启动 PowerShell。运行：

Import-Module GroupPolicy

Remove-GPLink -Name "GPO That Breaks Everything" -Target "ou=OU Where It Is Linked,dc=contoso,dc=com"

这将删除与 GPO 的链接，而不会破坏整个 GPO。

如果您只想删除整个 GPO，那么您可以运行：

Import-Module GroupPolicy

Remove-GPO -Name "GPO That Breaks Everything"

Answer

如果由于限制而无法启动 MMC（您是否将此 GPO 应用于整个域或类似的东西？！）那么您可以使用PowerShell 的组策略模块。

以域管理员身份登录并在安装了 RSAT 的 AD 命令行工具的计算机上启动 PowerShell。运行：

Import-Module GroupPolicy

Remove-GPLink -Name "GPO That Breaks Everything" -Target "ou=OU Where It Is Linked,dc=contoso,dc=com"

这将删除与 GPO 的链接，而不会破坏整个 GPO。

如果您只想删除整个 GPO，那么您可以运行：

Import-Module GroupPolicy

Remove-GPO -Name "GPO That Breaks Everything"

Question 2

我通过将相应 GPO 下的管理员组的权限更改为“应用组策略”下的“拒绝”来解决此问题。

Answer

我通过将相应 GPO 下的管理员组的权限更改为“应用组策略”下的“拒绝”来解决此问题。

Question 3

如果您也是域用户的成员，并且您拒绝域用户访问 mmc，那么您将无法使用它。这就是权限的工作方式 - 拒绝权限比允许权限更强。如果您拒绝某个组的访问，则该组中的每个用户都将被拒绝访问，即使他拥有其他组的允许权限。

最简单的解决方案是以不在域用户组中且具有管理员权限（例如域控制器上的本地管理员）的用户身份登录，然后恢复 gpo 中的更改。

其他解决方案将基于您到底拒绝了什么......

Answer

如果您也是域用户的成员，并且您拒绝域用户访问 mmc，那么您将无法使用它。这就是权限的工作方式 - 拒绝权限比允许权限更强。如果您拒绝某个组的访问，则该组中的每个用户都将被拒绝访问，即使他拥有其他组的允许权限。

最简单的解决方案是以不在域用户组中且具有管理员权限（例如域控制器上的本地管理员）的用户身份登录，然后恢复 gpo 中的更改。

其他解决方案将基于您到底拒绝了什么......

相关内容